Los clientes HTTP, herramientas utilizadas para enviar y recibir peticiones en la web, se han convertido en una de las principales armas de los ciberdelincuentes para la apropiación de cuentas. Un reciente informe de Proofpoint revela que, en la segunda mitad de 2024, el 78% de los usuarios de Microsoft 365 fueron objeto de al menos un intento de toma de control de cuentas mediante estas aplicaciones.
Herramientas al alcance de los atacantes
Los clientes HTTP, como OkHttp, Axios o Node Fetch, son ampliamente utilizados por desarrolladores para realizar pruebas y gestionar conexiones con servidores. Sin embargo, estas herramientas también han sido explotadas por actores malintencionados, quienes las reutilizan desde repositorios públicos para llevar a cabo ataques de fuerza bruta y adversario en el medio (AiTM).
Desde 2018, estos métodos han evolucionado, y en 2024 se ha identificado un incremento en la diversidad de clientes HTTP empleados. Si bien en los primeros meses del año las variantes de OkHttp dominaban, en marzo se observó un uso creciente de alternativas como Axios y Node Fetch, facilitando ataques de alta velocidad contra cuentas en la nube.
Ataques sofisticados con alto índice de éxito
Si bien la mayoría de los intentos de apropiación de cuentas basados en clientes HTTP son ataques de fuerza bruta con bajas tasas de éxito, Proofpoint ha identificado campañas altamente eficaces. Un caso relevante es el del cliente Axios, que, combinado con técnicas AiTM, ha logrado una tasa de éxito mensual del 38%. Esta herramienta es capaz de interceptar, transformar y cancelar tráfico, facilitando el robo de credenciales y tokens de acceso.
Entre los principales objetivos de estos ataques se encuentran ejecutivos, responsables financieros y personal operativo de sectores estratégicos como transporte, construcción, finanzas, informática y sanidad. Según el informe, entre junio y noviembre de 2024, más del 51% de las organizaciones objetivo fueron atacadas, con un 43% de cuentas comprometidas.
Evolución y tendencias en los ataques con clientes HTTP
En los últimos meses, los ciberdelincuentes han perfeccionado sus tácticas, incorporando infraestructura distribuida y redes de IP secuestradas para reducir su exposición y evitar detección. Se ha identificado una campaña masiva de fuerza bruta utilizando Node Fetch, caracterizada por su alta velocidad y distribución de intentos de acceso. Desde junio de 2024, se han registrado más de 13 millones de intentos de inicio de sesión fraudulentos, con un promedio de 66.000 intentos diarios.
Además, en agosto de 2024 surgió una variante basada en Go Resty, un cliente HTTP para Go que permitió ataques aún más diversificados. Sin embargo, esta táctica disminuyó en octubre, mientras que los ataques con Node Fetch continúan en activo.
Desafíos y medidas de mitigación
Ante este panorama, expertos en ciberseguridad advierten que los atacantes seguirán adaptando sus estrategias y herramientas para aumentar la efectividad de sus ataques y eludir los mecanismos de defensa. La recomendación de los investigadores de Proofpoint es reforzar las medidas de autenticación multifactor, supervisar los patrones de acceso sospechosos y bloquear el uso de clientes HTTP en entornos sensibles.
La evolución de los ataques con clientes HTTP muestra que los ciberdelincuentes continúan innovando en sus métodos. Con una combinación de herramientas legítimas y estrategias avanzadas, las organizaciones deben mantenerse alerta para proteger sus sistemas y datos frente a este tipo de amenazas en constante evolución.
vía: ProofPoint
